机房2级和3级国家等保要求
安全等级保护2级和3级等保要求
级、三级等级保护要求比较技术要求管理要求系统建设管理系统定级1)应明确信息系统划分的方法;2)应确定信息系统的安全等级;3)应以书面的形式定义确定了安全等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等;4)应确保信息系统的定级结果经过相关部门的批准。
1)应明确信息系统划分的方法;2)应确定信息系统的安全等级;3)应以书面的形式定义确定了安全等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等;4)应以书面的形式说明确定一个信息系统为某个安全等级的方法和理由;5)应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性进行论证和审定;6)应确保伯息系统的7E级结果红过相关部门的批准。
安全万案设计1)应根据系统的安全级别选择基本安全措施,依据风险分析的结果补充和调整安全措施;2)应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;3)应对安全方案进行细化,形成能指导安全系统建设和安全产品采购的详细设计方案;4)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定;5)应确保安全设计方案必须经过批准,才能正式实施。
1 )应根据系统的安全级别选择基本安全措施,依据风险分析的结果补充和调整安全措施;2)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定;5)应确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准,才能正式实施;管理要求项二级等保三级等保2)应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;3)应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。
机房2级和3级等保要求
级、三级等级保护要求比较技术要求接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使2)用),为数据流提供明确的允许/拒绝访问的能力。
3)址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;4)应在会话处于非活跃一定时间或会话结束后终止网络连接;拨号1)访问控制应在基于安全属性的允5)应限制网络最大流量数及网络连接数。
1)应在基于安全属性的允许远程用户对系2) 许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;应限制具有拨号访问权限的用户数量。
统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;2)应限制具有拨号访问权限的用户数量;3)应按用户和系统之间的允许访问规则,决定允许用户对受控系统进行资源访问。
网络1)安全审计2)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
网络流量、用户行为等进行全面的监测、记录;2)对于每一个事件,其审计记录应包括:1)应对网络系统中的网络设备运行状况、事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信3)安全审计应可以根据记录数据进行分析,并生成审计报表;4)安全审计应可以对特定事件,提供指定方式的实时报警;5)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
唯一;制;4) 身份鉴别信息应具有不4) 网络设备用户的标识应唯一;易被冒用的特点,例如口5) 身份鉴别信息应具有不易被冒用的特令长度、复杂性和定期的更新等;点,例如口令长度、复杂性和定期的更5) 应具有登录失败处理功新等;能,如:结束会话、限制6) 应对冋一用户选择两种或两种以上组合非法登录次数,当网络登的鉴别技术来进行身份鉴别;录连接超时,自动退出。
机房2级与3级等保要求
2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)设备或存储介质携带出工作环境时,应受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
安全等级保护2级和3级等保要求
代码进行检测和清除;
行检测和清除; 2) 应维护恶意代码库的升
级和检测系统的更新; 3) 应支持恶意代码防范的
2) 应维护恶意代码库的升级和检测系统的 更新;
3) 应支持恶意代码防范的统一管理。
统一管理。
网络 1) 应对登录网络设备的用 1) 应对登录网络设备的用户进行身份鉴别;
设备 防护
户进行身份鉴别;
源地址、目的地址、源端口号、目的端
控制
目的地址、源端口号、目
口号、协议、出入的接口、会话序列号、
的端口号、协议、出入的
发出信息的主机名等信息,并应支持地
接口、会话序列号、发出
址通配符的使用),为数据流提供明确的
信息的主机名等信息,并
允许/拒绝访问的能力;
技术要求项
二级等保
三级等保
应支持地址通配符的使 2) 应对进出网络的信息内容进行过滤,实
二级等保
三级等保
令长度、复杂性和定期的
例如口令长度、复杂性和定期的更新等;
更新等;
6) 应对同一用户选择两种或两种以上组合
5) 应具有登录失败处理功
的鉴别技术来进行身份鉴别;
能,如:结束会话、限制 7) 应具有登录失败处理功能,如:结束会
非法登录次数,当网络登
录连接超时,自动退出。
话、限制非法登录次数,当网络登录连
分
行情况相符的网络拓扑 3) 应根据机构业务的特点,在满足业务高
结构图;
峰期需要的基础上,合理设计网络带宽;
3) 应根据机构业务的特点, 4) 应在业务终端与业务服务器之间进行路
在满足业务高峰期需要
由控制建立安全的访问路径;
的基础上,合理设计网络 5) 应根据各部门的工作职能、重要性、所
安全系统等级保护2级和3级等保要求
二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理 1 )机房和办公场地应选择 1 )机房和办公场地应选择在具有防震、防安全在具有防震、防风和防雨风和防雨等能力的建筑内;物理等能力的建筑内。
2 )机房场地应避免设在建筑物的高层或地位置下室,以及用水设备的下层或隔壁;的选3 )机房场地应当避开强电场、强磁场、强择震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
物理1)机房出入口应有专人值 1 )机房出入口应有专人值守,鉴别进入的访问守,鉴别进入的人员身份人员身份并登记在案;控制并登记在案; 2 )应批准进入机房的来访人员,限制和监2)应批准进入机房的来访控其活动范围;人员,限制和监控其活动 3 )应对机房划分区域进行管理,区域和区范围。
域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;4 )应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗1)应将主要设备放置在物 1 )应将主要设备放置在物理受限的范围窃和理受限的范围内;内;防破2)应对设备或主要部件进 2 )应对设备或主要部件进行固定,并设置坏行固定,并设置明显的不明显的无法除去的标记;易除去的标记; 3 )应将通信线缆铺设在隐蔽处,如铺设在3)应将通信线缆铺设在隐地下或管道中等;蔽处,如铺设在地下或管 4 )应对介质分类标识,存储在介质库或档道中等;案室中;4)应对介质分类标识,存储 5 )设备或存储介质携带出工作环境时,应在介质库或档案室中;受到监控和内容加密;5)应安装必要的防盗报警 6 )应利用光、电等技术设置机房的防盗报设施,以防进入机房的盗警系统,以防进入机房的盗窃和破坏行7 )应对机房设置监控报警系统。
防雷1)机房建筑应设置避雷装 1 )机房建筑应设置避雷装置;击置; 2 )应设置防雷保安器,防止感应雷;2)应设置交流电源地线。
3 )应设置交流电源地线。
防火1)应设置灭火设备和火灾 1 )应设置火灾自动消防系统,自动检测火自动报警系统,并保持灭情、自动报警,并自动灭火;火设备和火灾自动报警 2 )机房及相关的工作房间和辅助房,其建系统的良好状态。
机房2级及3级等保要求
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
二级、三级等级保护要求比较
一、
技术要求项
二级等保
三级等保
物理安全物理位置的选择Fra bibliotek1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;
3)机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
机房2级及3级等保要求
7)重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别。
自主访问控制
1)应依据安全策略控制主体对客体的访问;
2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的权限;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
防静电
1)应采用必要的接地等防静电措施
1)应采用必要的接地等防静电措施;
2)应采用防静电地板。
温湿度控制
7)应对机房设置监控报警系统。
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
3)安全审计应可以根据记录数据进行分析,并生成审计报表;
4)安全审计应可以对特定事件,提供指定方式的实时报警;
机房2级与3级等保要求
机房2级与3级等保要求机房2级和3级等保是指针对机房的信息安全等级保护的要求。
等保是我国对重要信息系统安全保护的一种规范,按照等级分为5级,分别为1级、2级、3级、4级和5级等保。
等保的目的是保障信息系统的安全性,保护系统内的重要信息不被泄露、篡改或损坏。
本文将分别对机房2级和3级等保的要求进行详细介绍。
首先,2级等保要求机房的安保措施要相对较高。
具体要求如下:1.机房出入口要设置门禁系统,只有授权人员才能进入。
门禁系统要有记录功能,记录所有人员的出入时间和身份信息。
2.机房内要配备视频监控系统,覆盖全面,监控画面的存储时间要达到要求,存储设备要有密码保护功能。
3.机房内要有消防设备,包括灭火器、消防栓等,设备要进行定期维护和检查,并保证处于正常工作状态。
4.机房内的电源设备要有备份,保证机房的供电不中断。
备用电源应配备UPS(不间断电源)设备,以便在停电时维持机房正常运行。
5.机房内的设备要进行分类管理,不同区域或功能的设备要分离布置,以降低可能因设备故障或人为操作导致的风险。
6.机房内的设备要进行定期巡检和维护,保证设备的正常运行状态,及时发现和排除可能存在的故障。
7.机房内的数据备份要定期进行,备份数据要存储在安全可靠的地方,以防止数据丢失。
而对于3级等保,机房的安保要求更高。
具体要求如下:1.机房出入口要进行严格的身份验证,使用指纹、虹膜等生物识别技术,确保只有授权人员能够进入机房。
2.机房要安装严密的监控和报警系统,能够及时发现非法侵入和异常活动,并及时采取相应的安全措施。
3.机房要设置防火墙、入侵检测系统等网络安全设备,以保护机房内的网络环境和数据安全。
4.机房内的设备要有防雷措施,如安装避雷设备或利用接地技术,以保护设备免受雷击损坏。
5.机房内的设备要按照规定的标准进行存放,设备布局合理,避免设备之间相互干扰。
6.机房内要进行全面的漏洞扫描和安全性评估,及时发现和修复可能存在的安全漏洞。
机房2级和3级国家等保要求
机房信息安全等级保护二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理安全物理位置的选择1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;3)机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
物理访问控制1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;2)应批准进入机房的来访人员,限制和监控其活动范围;3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;4)应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗窃和防破坏1)应将主要设备放置在物理受限的范围内;2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)应对介质分类标识,存储在介质库或档案室中;5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1)应将主要设备放置在物理受限的范围内;2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)应对介质分类标识,存储在介质库或档案室中;5)设备或存储介质携带出工作环境时,应受到监控和内容加密;6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;7)应对机房设置监控报警系统。
防雷击1)机房建筑应设置避雷装置;2)应设置交流电源地线。
1)机房建筑应设置避雷装置;2)应设置防雷保安器,防止感应雷;3)应设置交流电源地线。
防火1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
【精品】安全等级保护2级和3级等保要求
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
1)应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;
2)当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗窃和防破坏
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出;
6)应实现操作系统和数据库管理系统特权用户的权限分离;
机房2级和3级国家等保要求
1)应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备)。
1)计算机系统供电应与其他供电分开;
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
7)应对机房设置监控报警系统。
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;
机房2级和3级国家等保要求
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
2)应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;
3)应能够对部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。
网络入侵防
1)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
电磁防护
1)应采用接地式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
1)应采用接地式防止外界电磁干扰和设备寄生耦合干扰;
1)应在基于安全属性的允远程用户对系统访问的规则的基础上,对系统所有资源允或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量;
3)应按用户和系统之间的允访问规则,决定允用户对受控系统进行资源访问。
网络安全审计
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
2021年机房2级和3级等保要求
3)应根据安全方略容许或者回绝便携式和移动式设备网络接入;
4)应在会话处在非活跃一定期间或会话结束后终结网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性容许远程顾客对系统访问规则基本上,对系统所有资源容许或回绝顾客进行访问,控制粒度为单个顾客;
2)对于每一种事件,其审计记录应涉及:事件日期和时间、顾客、事件类型、事件与否成功,及其她与审计有关信息。
1)应对网络系统中网络设备运营状况、网络流量、顾客行为等进行全面监测、记录;
2)对于每一种事件,其审计记录应涉及:事件日期和时间、顾客、事件类型、事件与否成功,及其她与审计有关信息;
3)安全审计应可以依照记录数据进行分析,并生成审计报表;
1)应在网络边界处应监视如下袭击行为:端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击、网络蠕虫袭击等入侵事件发生;
2)当检测到入侵事件时,应记录入侵源IP、袭击类型、袭击目、袭击时间,并在发生严重入侵事件时提供报警。
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
1)应将重要设备放置在物理受限范畴内;
2)应对设备或重要部件进行固定,并设立明显无法除去标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中档;
4)应对介质分类标记,存储在介质库或档案室中;
5)设备或存储介质携带出工作环境时,应受到监控和内容加密;
6)应运用光、电等技术设立机房防盗报警系统,以防进入机房盗窃和破坏行为;
1)应设立恒温恒湿系统,使机房温、湿度变化在设备运营所容许范畴之内。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二级等保
三级等保
令长度、复杂性和定期的
例如口令长度、复杂性和定期的更新等;
更新等;
6) 应对同一用户选择两种或两种以上组合
5) 应具有登录失败处理功
的鉴别技术来进行身份鉴别;
能,如:结束会话、限制 7) 应具有登录失败处理功能,如:结束会
非法登录次数,当网络登
录连接超时,自动退出。
话、限制非法登录次数,当网络登录连
如口令长度、复杂性和定期的更新等; 5) 应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
非法登录次数,当登录连
时,自动退出;
接超时,自动退出。
6) 应具有鉴别警示功能;
7) 重要的主机系统应对与之相连的服务器
或终端设备进行身份标识和鉴别。
自主 1) 应依据安全策略控制主 1) 应依据安全策略控制主体对客体的访问;
的重要程度等因素,划分
宽分配优先级别,保证在网络发生拥堵
不同的子网或网段,并按
的时候优先保护重要业务数据主机。
照方便管理和控制的原
则为各子网、网段分配地
址段;
6) 重要网段应采取网络层
地址与数据链路层地址
绑定措施,防止地址欺骗。
网络 1) 应能根据会话状态信息 1) 应能根据会话状态信息(包括数据包的
二级等保
三级等保
防雷 1) 机房建筑应设置避雷装 1) 机房建筑应设置避雷装置;
击
置;
2) 应设置防雷保安器,防止感应雷;
2) 应设置交流电源地线。 3) 应设置交流电源地线。
防火 1) 应设置灭火设备和火灾 1) 应设置火灾自动消防系统,自动检测火
自动报警系统,并保持灭
情、自动报警,并自动灭火;
火设备和火灾自动报警 2) 机房及相关的工作房间和辅助房,其建
道中等;Biblioteka 5) 设备或存储介质携带出工作环境时,应
4) 应对介质分类标识,存储
受到监控和内容加密;
在介质库或档案室中; 6) 应利用光、电等技术设置机房的防盗报
5) 应安装必要的防盗报警
警系统,以防进入机房的盗窃和破坏行
设施,以防进入机房的盗
为;
窃和破坏行为。
7) 应对机房设置监控报警系统。
技术要求项
段划 2) 应设计和绘制与当前运
络拓扑结构图;
分
行情况相符的网络拓扑 3) 应根据机构业务的特点,在满足业务高
结构图;
峰期需要的基础上,合理设计网络带宽;
3) 应根据机构业务的特点, 4) 应在业务终端与业务服务器之间进行路
在满足业务高峰期需要
由控制建立安全的访问路径;
的基础上,合理设计网络 5) 应根据各部门的工作职能、重要性、所
代码进行检测和清除;
行检测和清除; 2) 应维护恶意代码库的升
级和检测系统的更新; 3) 应支持恶意代码防范的
2) 应维护恶意代码库的升级和检测系统的 更新;
3) 应支持恶意代码防范的统一管理。
统一管理。
网络 1) 应对登录网络设备的用 1) 应对登录网络设备的用户进行身份鉴别;
设备 防护
户进行身份鉴别;
访问
(包括数据包的源地址、
源地址、目的地址、源端口号、目的端
控制
目的地址、源端口号、目
口号、协议、出入的接口、会话序列号、
的端口号、协议、出入的
发出信息的主机名等信息,并应支持地
接口、会话序列号、发出
址通配符的使用),为数据流提供明确的
信息的主机名等信息,并
允许/拒绝访问的能力;
技术要求项
二级等保
记录; 2) 对于每一个事件,其审计记录应包括:
事件的日期和时间、用户、事件类型、
和时间、用户、事件类型、
事件是否成功,及其他与审计相关的信
事件是否成功,及其他与
息;
审计相关的信息。
3) 安全审计应可以根据记录数据进行分析,
并生成审计报表;
4) 安全审计应可以对特定事件,提供指定
方式的实时报警;
5) 审计记录应受到保护避免受到未预期的
束后终止网络连接;
5) 应限制网络最大流量数及网络连接数。
拨号 1) 应在基于安全属性的允 1) 应在基于安全属性的允许远程用户对系
访问 控制
许远程用户对系统访问
统访问的规则的基础上,对系统所有资
的规则的基础上,对系统 所有资源允许或拒绝用 户进行访问,控制粒度为 单个用户;
源允许或拒绝用户进行访问,控制粒度 为单个用户; 2) 应限制具有拨号访问权限的用户数量;
用户的权限分离;
7) 应严格限制默认用户的访问权限。
强制 无 访问 控制
1) 应对重要信息资源和访问重要信息资源 的所有主体设置敏感标记;
2) 强制访问控制的覆盖范围应包括与重要
信息资源直接相关的所有主体、客体及
它们之间的操作;
3) 强制访问控制的粒度应达到主体为用户
3) 机房场地应当避开强电场、强磁场、强
震动源、强噪声源、重度环境污染、易
发生火灾、水灾、易遭受雷击的地区。
物理 1) 机房出入口应有专人值 1) 机房出入口应有专人值守,鉴别进入的
访问
守,鉴别进入的人员身份
人员身份并登记在案;
控制
并登记在案;
2) 应批准进入机房的来访人员,限制和监
2) 应批准进入机房的来访
带宽;
涉及信息的重要程度等因素,划分不同
4) 应在业务终端与业务服
的子网或网段,并按照方便管理和控制
务器之间进行路由控制,
的原则为各子网、网段分配地址段;
建立安全的访问路径; 6) 重要网段应采取网络层地址与数据链路
5) 应根据各部门的工作职
层地址绑定措施,防止地址欺骗;
能、重要性、所涉及信息 7) 应按照对业务服务的重要次序来指定带
访问 控制
体对客体的访问;
2) 自主访问控制的覆盖范围应包括与信息
2) 自主访问控制的覆盖范 围应包括与信息安全直 接相关的主体、客体及它 们之间的操作;
安全直接相关的主体、客体及它们之间 的操作; 3) 自主访问控制的粒度应达到主体为用户
技术要求项
二级等保
三级等保
3) 自主访问控制的粒度应
级,客体为文件、数据库表级;
达到主体为用户级,客体 4) 应由授权主体设置对客体访问和操作的
为文件、数据库表级; 4) 应由授权主体设置对客
体访问和操作的权限; 5) 应严格限制默认用户的
权限; 5) 权限分离应采用最小授权原则,分别授
予不同用户各自为完成自己承担任务所
访问权限。
需的最小权限,并在他们之间形成相互
制约的关系;
6) 应实现操作系统和数据库管理系统特权
机房信息安全等级保护二级、三级等级保护要求比较
一、 技术要求
技术要求项
二级等保
三级等保
物理
1) 机房和办公场地应选择 1) 机房和办公场地应选择在具有防震、防
安全 物理
位置
的选
择
在具有防震、防风和防雨
风和防雨等能力的建筑内;
等能力的建筑内。
2) 机房场地应避免设在建筑物的高层或地
下室,以及用水设备的下层或隔壁;
控其活动范围;
人员,限制和监控其活动 3) 应对机房划分区域进行管理,区域和区
范围。
域之间设置物理隔离装置,在重要区域
前设置交付或安装等过度区域;
4) 应对重要区域配置电子门禁系统,鉴别
和记录进入的人员身份并监控其活动。
防盗 1) 应将主要设备放置在物 1) 应将主要设备放置在物理受限的范围内;
窃和
理受限的范围内;
2) 应对设备或主要部件进行固定,并设置
防破 2) 应对设备或主要部件进
明显的无法除去的标记;
坏
行固定,并设置明显的不 3) 应将通信线缆铺设在隐蔽处,如铺设在
易除去的标记;
地下或管道中等;
3) 应将通信线缆铺设在隐 4) 应对介质分类标识,存储在介质库或档
蔽处,如铺设在地下或管
案室中;
2) 应限制具有拨号访问权 3) 应按用户和系统之间的允许访问规则,
限的用户数量。
决定允许用户对受控系统进行资源访问。
网络 1) 应对网络系统中的网络 1) 应对网络系统中的网络设备运行状况、
安全 审计
设备运行状况、网络流量、 网络流量、用户行为等进行全面的监测、
用户行为等事件进行日 志记录; 2) 对于每一个事件,其审计 记录应包括:事件的日期
2) 应对网络上的对等实体进行身份鉴别;
2) 应对网络设备的管理员 登录地址进行限制;
3) 网络设备用户的标识应 唯一;
3) 应对网络设备的管理员登录地址进行限 制;
4) 网络设备用户的标识应唯一;
4) 身份鉴别信息应具有不 5) 身份鉴别信息应具有不易被冒用的特点,
易被冒用的特点,例如口
技术要求项
施,如设置套管;
透;
3) 应采取措施防止雨水通 4) 应采取措施防止室内水蒸气结露和地下
过屋顶和墙壁渗透;
积水的转移与渗透。
4) 应采取措施防止室内水
蒸气结露和地下积水的
转移与渗透。
防静 1) 应采用必要的接地等防 1) 应采用必要的接地等防静电措施;
电
静电措施
2) 应采用防静电地板。
温湿 1) 应设置温、湿度自动调节 1) 应设置恒温恒湿系统,使机房温、湿度
2) 应对登录操作系统和数据库管理系统的 用户进行身份标识和鉴别;
3) 应对同一用户采用两种或两种以上组合
3) 操作系统和数据库管理
的鉴别技术实现用户身份鉴别;
系统身份鉴别信息应具 4) 操作系统和数据库管理系统用户的身份